-
想要請問,您花最多心力推動的政策是什麼?對民眾有什麼實質正面影響?
-
最重要的政策是一個概念,叫做「數位公共建設」,這個概念以前是沒有的。以前在國發會或者是主計總處的公共建設裡面,就是造橋鋪路,但是沒有數位的部分,今年是我們第一次確立,以後的公共建設,甚至包含促參都包含數位建設的部分。
-
民眾具體有感的,好比像有領到 6,000 元,應該沒有出什麼差錯?
-
沒有,很順利。
-
這個概念我們叫做「沒出事等於有做事」,因為在疫情期間,很多臨時趕著上線的系統,雖然我們已經盡了全力,但是很難說完全沒有任何塞車等等的情況;但是這一次,是因為我們把疫情期間調校到相當程度的系統,包含在教育部、勞動部都用過的,把它放大到 2,300 萬人都用的規模,然後完全沒有出任何狀況。
-
公共建設的意思是,從明年開始逐漸各部會、地方政府要發錢、發物資時,就不用再自己建系統,可以直接來用這一套 2,300 萬多人測試過,都沒有問題的系統。以前的預算要分別編列、另外再建,說不定又當機,我們又要跑去修,可能有資安等等問題。所以,無論是發放的這種公共建設,或者是我們可能之前大家有看到我們的通訊備援的公共建設,甚至緊急時互相漫游的那種公共建設等等,我們接下來會有一系列的公共建設,確保大家在網路上使用任何政府服務的時候,都具有韌性,就是可以承受打擊,又不至於崩潰,一下子就可以恢復作業,並且讓自己的體質更強。
-
所以,像今年稍早蔡總統訪美,或者是現在正在發生的賴副總統訪美…
-
現在有感受到攻擊量上升的情況?
-
我們都會有專門資安相關的警戒專案。像在今年 3 月的時候,其實我們有遭受到相當程度的攻擊,可是沒有看到像去年 8 月時的狀況,那個就是聯防的韌性發揮效果,所以「沒出事就是有做事」,因為有出事就會上新聞了。
-
像數位建設,一般民眾比較看不到,所以民眾會比較無感,就會變成數位部做滿多事,但是一般人會看不太懂。對於這個部分,您會不會覺得很無力、要怎麼跟民眾溝通之類的?
-
我們的目的,是讓大家順利使用政府服務,並不是讓大家隨時都看到數位部打個 logo 說「這個也是數位部提供的、那也是數位部提供的」等等。
-
所以協助各行各業做數位轉型也好,幫助各個部會把政府服務變得更有韌性也好,這是我們的工作。我們不會因為有在做這個,就要搶到每個部會或者部門前面,都一定要說「moda inside」,沒有這個想法。我想這也是當初立法院把我們分到交通委員會,對我們的期許,有點像造橋鋪路的數位版本一樣。如果開車很順暢沒有塞車,不一定會記得中間是哪幾道橋、哪幾條路,這個我們很 ok。
-
因為之前你在當行政院政委的時候,其實你非常廣受人民愛戴,聲望非常聲勢浩大。當部長以後,其實網路上有滿多對你的指教,你覺得問題出在哪裡?為何從政委到部長有這樣的落差?
-
我覺得還好,在我以前剛入閣的時候,你如果看第一年,也是非常非常多的批評指教。尤其當時關於跨境大型數位平台,到底要怎麼樣因應上面的境外訊息攻勢,在當時也有比現在可能更多對我的批評指教。
-
當時我們也是花了非常多的時間,才讓大家瞭解抵禦境外的訊息攻勢,跟保障我們內部的言論自由、集會結社自由,這兩個是互相加強的,而不是我們抵禦外敵,就一定要讓境內的言論自由變少。我們建立起這樣的一套論述,也花了一、兩年,從 2016 年底到 2018 年,大家才比較瞭解這件事,在那段期間裡面,對我的攻擊也沒有少過。
-
您剛剛說,大家比較喜歡的,可能是 2020 年、2021 年時對疫情的反應,但那是因為有非常大的威脅,我們即時回應,所以那是特定時期的產物。現在我寧可是在沒有疫情、沒有危難緊急的情況時,趕快來把公共建設做好。
-
所以就你剛剛所提到的,花最多心思推動政策,就是包含普發 6,000 元的系統跟 PoC 案?
-
這些後面的概念,並不是一次性做。疫情的時候,雖然你剛剛說大家很愛戴,但是非常多一次性的系統。我們現在的政策,是把當年一次性的系統,並不是浪費掉、用完就沒有了,而是把可以充分利用的部分,變成公共建設,所以跟我們疫情時的工作是有延續性的。
-
就是有一套系統可以用好幾次?
-
-
那個頁面是一樣的嗎?
-
就是後面一樣。但是像 6,000 元那一套,你現在到 6,000 元網站是財政部的 logo,但是勞動部發部分工時的時候,就是勞動部的 logo,再往前教育部發孩童家庭防疫津貼補貼的時候,就是教育部的 logo,所以是每個部會、地方政府可以換前面的部分,但是後面的部分是一樣的。
-
對於一些民眾說你只會點麵線,數位部是外包部,你的看法是如何?
-
這兩題可能分別回答。
-
我想麵線那一次,這個訊息一出去,就接到很多比油庫口麵線還要更偏鄉、更弱勢的這些微小事業,因為他們以前從來不知道原來政府對於照顧那麼微型的小型商家的數位轉型,原來花了這麼多的力氣,我記得隔天就接到詢問,小型的合作組織是不是可以,小型在地的一些社創或者是地方創生的團體,像這些社會創新組織是不是可以,還有診所、長照站,所以我覺得滿好的,藉由那一次機會,讓大家瞭解到不是只有中大型或者是巨型的公司,甚至上市櫃的公司,大家來數位轉型,我們的想法是數位轉型也不能把這些偏鄉、弱勢、微型、小型的弱勢拋棄掉,所以那一次對外這樣的宣示,我覺得有一定的效果,因為這樣子,我們的產業署就從 3 月讓社創組織、7 月讓合作社,現在也即將把長照機構、診所等等,全部納入這種他選什麼雲端的服務,他出 3 萬、我們出 3 萬這樣的做法。
-
所以,我覺得如果你是長照站或者是診所,可能不一定用點餐平台,說不定也有送餐服務,你也不知道,但是其實在上面有包含人資管理、進銷存、客戶關係管理,甚至是能源管理等等的系統,我想支付是其中一個部分沒有問題,但是雲市集上面還有非常多別的類型協助。
-
關於外包部?
-
我想是這樣,我們設計的工作、架構的工作、制度的工作,這個是我們自己做,但是當然雖然我理論上也可以下去做資安攻防或者是寫程式,但是不能我們的程式都自己寫,所以當我們設計出這樣的概念時,通常發生的情況,我們會跟系統整合商討論,然後把我們新的概念交由他們去實作,但是公共建設的想法跟以前不一樣,以前是我們交給他實作,他做了之後給我們用,但是別人也看不到有新的這個架構,他也不能直接拿去用,他必須要等明年年度編預算、採購等等,所以新的做法擴散的程度就不會這麼快,但是我們今年的主要工作,把它變成公共建設之後,我們讓系統整合商做這個之後,就很像不是我們把設計、制度外包出去,沒有,這個部分是我們自己做的,而且做出來的部分,因為是公共建設,所以別的機關、別的想要用我們網站系統的等等部會,直接就可以拿去用,就像剛剛講 6,000 元套一個前端就可以拿去用。
-
所以大家說外包,也就是鼓勵我們的這種核心制度跟架構設計,不能交給廠商,這個要我們自己做,這個沒有問題,也是這樣子。另外,我們跟系統整合商合作是,因為這樣做出來的系統就可以變成公共建設,不然變成我們要幫其他部會維運系統,那個不是我們核心的工作。
-
也算是扶植國內廠商的一種方式嗎?就不要與民爭利?
-
應該也不能這樣子講,應該是說共創這個利益,我們找系統整合商 A 做出來這個,以前他不是公共建設的情況下,別人另外的機關要做同樣功能的,要找另外一個系統整合商 B,又從頭做一套,我們現在是說做了這個之後,他因為是公共建設,很像踏腳石一樣,他再去別的部會再找,在這個基礎上再往上,所以等於各個部會的資訊系統專案,很像樂高一樣,彼此拼起來,所以不但不是與民爭利,事實上是為後面的系統整合商 B、C、D、E 創造更多的價值,因為他不用重新再做一套人家已經做過測試過的東西。
-
這樣算是可以省錢嗎?
-
當然,可以省滿多的。
-
數位部成立快一年,你覺得表現你給自己打幾分?
-
這應該是要全面打分數,不會是我自己打分數。因為我們剛剛講的公共建設、公共程式等等的這一套,最後的結果是大家用起來很順,然後不出錯等等,所以我會覺得大家的好感是放在那個公共服務上,而不是這一套系統上,這一套系統可以說是完全隱形的,完全是背後的基礎建設,所以這個時候我說全面打分數的意思是,我們協助各行各業數位轉型,好比像剛剛講的合作組織或者是未來的長照站,使用這些服務的人對他的滿意度提高,這就算是我很高興的部分,但是就像剛剛講的不會變成什麼都要我的臉或者是 moda logo 貼在上面,一定要大家稱讚 moda,我們沒有這樣的想法。
-
關於數位部做的數位韌性,就是除了衛星案之外,像例如雲端、Google、微軟、AWS,他們算是倚賴我們的海纜,如果要有資料傳輸的話,如果遇到戰時,海纜被打掉的話,這些資料怎麼辦?
-
聯外的海纜,如果被破壞,只要機房設在國內,像 Google 在彰濱,如果我跟你是 Google meet 視訊,我們兩個都還在臺灣,就可以不受聯外海纜的影響,只要有一些最基本的頻寬透過衛星,能夠把好比像 google.com 的網域,還是確保可以解析,絕大部分我們視訊什麼的頻寬,只要機房在臺灣,有什麼的本地韌性就不受海纜破壞的影響。
-
但是如果還沒有完全落地的,好比像 Amazon 落地了一部分,但是還有一些服務沒有完全落地,這樣子的話,用到那些還沒有落地服務的話,可能一定要設在日本或者是美國,這個時候如果海纜斷掉的話,會發現放在 Amazon 上面的 Github 服務,像 Signal 就不一定打得通了。
-
所以現在的策略是,要促使這三大公有雲,Google 已經完全符合、微軟已經快了,Amazon 還在談,希望可以明年,他們都落地的話,如果我們兩端都在國內,我們的服務品質比較不受到海纜被卡掉的影響。
-
所以如果他們有在臺灣建資料中心落地的話,他們資料傳輸比較不會受海纜的限制?
-
就是如果傳輸的兩端,像我跟你視訊,我們兩端都在臺灣,他的機房,也就是我們的中間人也在臺灣,就不受影響。當然,另外一個問題是,資料中心所在的位置也不是秘密所以另外一個問題,因為海纜比較屬於有一點灰色地帶,像台馬的狀況,可以「不小心」把它破壞,但是資料中心就比較不容易「不小心」讓它怎麼樣。
-
但是當然我們也有預想到最壞的情況,也就是資料中心被蓄意破壞,這個時候我們也有比照像愛沙尼亞等等的國家,他們早就有做這一方面的準備,假設國內所有的資料中心都被破壞,那要怎麼辦,他就是把一些核心的資料、政府雲所需要的資料加密,加密之後很像拼圖一樣,分散在各個國外、信得過的地方,但是每一片拼圖都沒有辦法還原,一定要把這些拼圖湊起來,這個時候這個叫分持,加密後分散在其他地方,即使境內的資料中心哪一天都被破壞,等到以後要拼回來也是拼不回來,這個也是明年的公共建設。
-
這個是跨境備援?
-
對,加密分持。
-
這個跟剛剛講的公有雲落地是有關係的嗎?
-
公有雲落地就可以是主要的資料放在這裡,但是一旦情勢升高的時候,就趕快備份出去,烏克蘭就是這樣做。
-
這個對一般民眾來說,如果沒有要求他們落地的話,他們可能上傳到 Google 雲端的照片,這個在戰時就會消失嗎?
-
現在 Google 已經落地了,所以沒有這個問題。
-
只有 Amazon 有這個問題?
-
對,這是災難的時候。如果沒有災難的時候,落地也有好處,因為落地的距離比較近,像電競或者是即時視訊,這種你一點頭、就要看到你點頭的這種低延遲狀況,落地大家的主觀體驗都會變得比較好。
-
剛剛有提到加密分持,是明年會推的政策?
-
對,這也是一個公共建設。
-
這個概念是把每一塊拼圖放在他國,我們有研議要放在哪一些國家嗎?因為臺灣的友邦跟其他國比較少。
-
放在其他地方不一定是他國,好比像你可以把 Amazon、微軟、Google 都有提供一些所謂冷備份的服務,好比分三塊放在這三大公有雲的服務,這也是一個做法。
-
請問一下,你們有跟這三大公有雲洽談落地的事嗎?好比像 Google 是第二座跟第三座有購地,目前還沒有真的建好資料中心,微軟也在桃園有購地,但是並沒有⋯⋯
-
微軟目前是採取跟在地雲端服務商共構的方法來做,你剛剛講 Google 對全民的服務、Youtube,但是我們政府用到 Google,像 Google Workspace,那一種我們用的早就已經在彰化了,所以民眾當然有一些部分,好比像是不是 Youtube 上的影片都要落地,這個我沒有那麼清楚,但是在緊急的時候,需要用到的 Google 那一些相關服務是都有落地。
-
但是微軟呢?微軟什麼時候會落地?
-
微軟現在提供我們政府的相關服務,有一些是用 Azure 架構,但是是跟國內的機房的承商共構,所以從某種角度來講可以算是落地,雖然不是自有資料中心,但是我們要求的只有海纜對外斷掉的時候,我們國內的推訊要可以通,所以在這個情況之下是最最基本的部分有滿足了,當然我們希望未來投資可以更多,但是至少最最基本的部分有滿足。
-
Amazon 也有一個 Local zone,最基本的也就是租電腦做運算的部分也落地了,但是更多別的 Amazon 的服務,有些還是要用日本或者是美國。
-
其實我們也有接觸過 AWS 那邊的窗口,他們認為自己有落地。
-
就像我剛剛講的,你租 EC2(Elastic Compute Cloud),就是 Local zone 裡面的虛擬電腦來作運算,那個部分是有落地,像 Signal 或者是其他的 AWS 的服務,並不是只用租電腦做運算的 EC2 的部分,也用別的服務,像 S3 之類的,除非那些都落地,不然其實不太有意義。
-
好比說,假設我跟你在視訊的資料傳輸的部分是落地的,但是我要能夠找到你的電話,而且能夠跟你開始撥電話,這個是 hand shake,這個部分是還沒落地的,等於是說海纜斷光時打不通,只是平常有打通的話有部份傳輸落地,這樣在緊急應變時比較沒有作用。所以就是要看我們具體的服務,用到的功能是不是可以在 Local zone 裡面使用?如果是,那 Amazon 就可以算成落地,但是實務上目前用得很多的,並不是一個 Local zone 就完成。
-
瞭解。所以如果都有落地的話,在緊急狀況的時候,都還是可以使用這些遠端的服務?
-
對,兩端都在臺灣的話是這樣。當然如果要發稿給國外,或者是跟國外視訊,那可能就要衛星。
-
好。因為 Amazon 在臺灣的市占率是最高的,所以其實還算是滿重要的,他目前的落地態度怎麼樣?
-
我們持續在跟他們談,因為在以前我們並沒有個資跨境傳輸的限制,所以機房不管是在臺灣或者是日本,並不會因此在法律上有所不同,但是當然隨著獨立的個資會即將要成立——那並不是數位部,而是另外一個獨立機關——個資法說不定會開始往那個方向修法,還不確定。
-
現在跨境的資料傳輸,還是沒有法律的規範?
-
跨境的個資傳輸,目前的個資法裡面,只有說如果有涉及國家重大利益等理由,說不定可以限制,但是往日本傳的話,以我所知目前並沒有限制。但是目前兩個方向,一個是獨立的個資會,未來說不定會看這一塊,另外一個是金管會,現在也有說我們開放金融機構上雲,但是對於有落地跟沒有落地的,規管強度會不一樣,有落地比較信得過。所以隨著這兩個方向,我覺得落地的誘因會越來越大。
-
另外還有 PoC 案,現在已經有確定 SES 跟 OneWeb?
-
我們是請 TTC 去談。
-
低軌跟中軌各有一家?
-
合作夥伴是越多越好。我們給 TTC 的任務是驗證跟測試,所以驗證測試越多,以前大家可能會有一種想法,也就是 700 個點要怎麼分?但是沒有怎麼分的問題,最好是某個點又可以接低軌、又可以接中軌,如果可以接不只一家更好。
-
目前除了這兩家之外,還有沒有其他的?我之前聽說 Kuiper、ViaSat 也有來談。
-
瞭解你有聽說。
-
那你對於這個聽說?
-
我們現在整套都已經交給 TTC,以 TTC 發布的為準。我們希望在明年年底前能夠如期、如質的把這 700 個點驗測完成。
-
關於資安法,很像上路以來都沒有修過,目前的修法方向是什麼?
-
這個當然各界滿關心的,也是資安署成立之後,本來是行政院資安處,現在變成是資安署,資安署很多要做全國性的這種事務,他就是必須要以法律訂之,我們目前是有一張表說哪一些事務,行政院資安處有移交過來,但是這張表有一點密密麻麻、相當複雜,我們把這個移撥事務的這張表變成新版的這個法律,會明確主管機關,哪一些事好比像行政院國土辦還是有指定關鍵基礎設施的權責,那個還在行政院召開資安會報,那個還在行政院等等,但是哪一些事是資安署就可以決定的,就會在新的法律草案當中明訂資安署怎麼樣,這個是第一個主管機關的調適。
-
第二,我們現在有一些是以原則層級,也就是行政院自己訂原則,但是不只是行政院,但是其實滿配合的,舉例來說,像國家資通安全會報,這個目前是行政院的原則層級的東西,我們也會把它入法變成是法律明訂行政院可以開資通安全會報,哪一些人要來,哪一些人要做成決議跟有什麼效力,這個有辦法訂之,或者是像危害產品,危害產品之前也是個原則,這個原則因為法律保留的關係,現在很感謝大家配合,但是我們是現在的現狀會把它入法,大家就要配合了。
-
第三,資安署以前沒有的權限,也就是資安專職人員的調度權,現在如果看法的話,其實只有要專責,也就是有這件事要專門負責,但是法的位階還沒有要求到專職,也就是這個人只能做這件事,這個專職的要求,目前也是原則的層級,我們把它提到法層級,大家各個 A、B、C 級機關,都要有專職人員,我們說如發生資安事件聯防,資安署未來會有這種很像調訓,也就是某個機關被攻擊了,正在攻防、正在進行中,我們現在很像實戰訓練一樣,資安署就可以調動其他沒有受攻擊機關的資安專職人員,因為不會兼職、沒有做別的事,專門做資安來幫忙防守,這個過程中也算是職能訓練的一部分,後面當然也有相關的績效評核獎勵這一套,所以給資安署一定程度的專職人員調度跟獎勵評核的權限,這個也滿重要的。
-
所以聽起來是把之前的一些比較原則的東西明文規定到法律裡面?
-
-
因為現在資安法主要規範公務機關跟特定非公務機關,未來有沒有要擴大到一些比較重要的大型企業?
-
我想關鍵基礎設施,本來就是行政院國土辦可以認定的。如果有任何部會說,我覺得這個應該是關鍵基礎設施,目前好像沒有列進去,國土辦就會去檢視這個是不是真的中斷掉就會造成重大什麼影響。
-
像我們現在對於馬祖有微波的備援,所以如果海纜再次中斷、不小心被勾斷,造成的影響就會比以前小非常多,我實際有去馬祖測試不用海纜的頻寬,直接改回微波的頻寬做視訊,現在也幾乎完全沒有延遲,這種情況下海纜的狀況,跟以前海纜斷掉就很嚴重的狀態不一樣。
-
所以國土辦就是客觀檢視,哪些設施中斷掉真的會有非常大的影響,那個就是關鍵基礎設施,各個部會都可以提。
-
所以民間企業可以用這樣關鍵基礎設施的方式,可以納入資安法的規範?
-
包括有些公營事業等等,如果中斷會造成不可回復的影響等等,本來就有一套這樣的程序。
-
你之前有講過想要推動跨國資安演練,其實我們有跟很多國家合作兵推跟軍演,我們在網路這一方面有沒有相對應的類似機制?
-
當然我們並不是資通電軍,電軍你要問國防部,但我們是負責關鍵基礎設施資安法上應辦的事項,所以關鍵基礎設施的跨國攻防演練這個是我們辦理,這個叫做「CODE(Cyber Offensive and Defensive Exercise)」,應該是從 2019 年就開始做這樣的攻防,邀請國際的資安組織或者是國家來擔任紅隊,針對每次模擬不一樣的關鍵基礎設施的領域,來做探測攻擊等等。
-
這在 2021 年就有 20 個國際資安組織,參加這個活動,也有 3 組是實際下場,真的當紅隊來攻防,我們現在正在規劃辦理兩年一次,也就是 2021 年到現在的 2023 年,我們就會邀請更多國際友好組織來參加這個演練。
-
所以這個組織當中有包含官方層級?
-
-
有包含哪一些國家,像美國、日本跟臺灣比較友好的國家?
-
每個派個幾隊等等。
-
現在可以先透漏一下?
-
目前還在邀請。
-
下半年?
-
對,下半年。
-
就是有官方層級、也有包含專家學者?
-
就是實際攻防,所以來的是當攻擊手,不然就是加入防禦藍隊這邊。
-
臺灣是扮演藍隊嗎?
-
我們這邊當然是有防守的模擬場域,所以我們的人也會扮演防守的部分,至於我們這邊是哪些團隊擔任攻擊手,我們辦完再告訴大家。
-
哪時候會辦?
-
10 月的時候。
-
這個演練是做完之後,會給我們的行政院參考這樣的結果嗎?會是有一個正式的官方結果嗎?
-
我們當然會有一個事後紅藍隊加起來的紫隊活動,也就是雙方交換攻防的心得。這個目的之一,就是讓這些同仁平時發生事情的時候,對彼此就熟悉,我知道他的強項在哪裡,知道要去找他幫忙、知道要通報給他等等,所以這個演練,也可以是讓大家切磋之後瞭解彼此的方法,日後真的發生事情,需要大家幫忙、別人需要我們幫忙的時候,就可以很快接上線。
-
所以可以很快交換情報資訊?
-
對,其實大部分是為了交換情報。
-
關於 AI 的部分,目前看起來 AI 還是由國科會主辦,像基本法草案也是由他們,數位部的角色為何?
-
我們是負責評估測試,所以像台德,也就是國科會的語言模型研究部分當然是國科會,但是因為數位部,特別是產業署是各行各業的數位轉型,所以從研究出來、實驗室出來的,到實際大家用,中間要經過一個評估測試的過程,所以我們這邊就是去找出包含 TAIDE 在內的這些語言模型,在不同的應用領域,像翻譯等等,要怎麼樣調整參數、設下什麼樣的限制,在什麼情況之下才會真的可以符合業界所需,所以評測的部分是我們負責。
-
可以說是確保 AI 的安全性?
-
對,是安全性。不只安全性,也包含可靠、準確等等。
-
這個 AI 你之前也連署過 AI 具有風險,對於一般民眾可能會比較關心的是,AI 更擴散假訊息的傳播速度,可以很快做成一張有問題的圖、假的圖或者是有問題的文字,關於 AI 假訊息,數位部的做法是?
-
其實我們做境外的這種訊息攻勢防禦,不是第一年,已經很久了,在國際上分成三層 A(actor)、B(behavior)、C(content),就是可以去看內容的真實度;也可以看行為,好比像同一封訊息一次發給 10 萬人,這個跟一封一封發是不一樣的;或者可以看行為者,行為者是從境外來的、是透過某種方式模糊化它的 IP 位置或者是我們認得的人,但是這三層是不同的基數。AI 特別是生成式 AI,主要造成的效應是很難只靠內容就判斷是不是真的,以前還可以說這張照片是邊緣、眼鏡的位置反光、對不上等等,但是也可以看得到最新的 SDXL 或者是 Midjourney 的眼鏡反光,一點問題都沒有,所以未來不太可能只從內容就判斷這個是不是境外干擾。
-
所以,我們就必須要去投資到 actor、behavior 這兩段,actor 好比像我們即將推出簡碼,所以公部門發的簡訊就只會從三碼的簡碼出來,所以就算一模一樣的內容,只要是從十碼的是公部門,內容都一樣,這個也是假的,所以你看這也不是看內容,而是看 actor。
-
我們在推的電子簽章也是一樣,未來數位簽章會變得非常普及,明年大家都可以用手機、TW FidO 做數位簽章,這個時候沒有簽的,你可能就要想說沒有簽又要你去買投資廣告、存股,那應該就是詐騙,就算內容跟真正的投資廣告一模一樣,每個字都一樣、照片也一樣,但是它還是詐騙,為什麼?因為 actor 不對。
-
有一些法律學者會建議,是不是可以在圖片或者是文字上加註這個是 AI?也就是法律強制規定你只要做這個東西,就要註解這個是 AI 做成的?
-
依我們瞭解浮水印溯源的情況,這個技術的挑戰,是說假設只有那幾家大廠,能夠提供足以亂真的合成圖文影音。但現在問題是,因為有開源的模型,甚至你就算這個模型沒有釋出,現在也有辦法自己重新訓練一個模型,運用大的模型來訓練小的模型,所以就很難阻止想要利用生成式 AI 詐騙的人,自己完全不用大廠的服務,而是訓練出一個足以亂真的模型。
-
所以,變成大廠這邊也許都可以套浮水印,但是有些還是不會有浮水印。我們如果採取一種「有套浮水印就是 AI,沒有套浮水印就是真人」的想法,剛好被這些訓練模型的人利用。所以我剛剛講的是反過來:有溯源簽章的是人類,其他可能全部都是假的。
-
這個就是數位部在推動的?
-
對,這個我們很有條件推動,是因為我們確實有相當強的數位簽章技術能力,行動自然人憑證到了年底,大家也可以直接去辦,不需要再一個卡式的自然人憑證,而且寬頻是人權,所以在哪裡,至少 4G 網路都可以連得上,因此在這些情況下,變成你的手機可以證明你是真人,但是在其他的地方,像網路不普及、數位簽章的公共設施、公共建設不普及,就比較難採用這一套做法。
-
這一方面我比較不瞭解,因為電子簽章跟簡碼是官方的機構在推動,關於討論防詐的界限,目前都是止於我們確認是政府機關傳出來的資訊或者是來源,目前是止步於這邊。
-
55688 就不是政府機關。三碼是我們用,沒有錯,但是五碼沒有這個限制。在每一個不同的場域,當然都有不動的方法去證明這個 actor 是可信任的,你剛剛另外一個問題是,數位簽章是不是只有機關憑證可以簽?不是,任何人都可以辦行動自然人憑證,辦完之後,你的手機就可以簽章了。
-
所以那個簽章的把關,是政府這邊來做,但是這些措施不只於你是政府?
-
對,依我的理解,現在任何自然人只要有行動自然人憑證,都可以直接用行動自然人憑證來簽章,甚至更進階的功能,像加解密也會開放,明年會開放到有手機的人都可以適用,之前內政部還在比較保守,只有一些特許事業,好比像電信業或者是醫療業,可以來適用這些行動自然人憑證相關的基礎建設。
-
但是隨著 2,300 萬人都測過領 6,000 元的情況之下,我們跟內政部達成一個共識,各行各業只要是國內受個資法拘束的,都可以運用這樣的方式去做,不只是登入,甚至接下來包含簽章與加解密。
-
部長,你接下來這一年有沒有要訪美國的打算?
-
目前還沒有確定的規劃。
-
那有想要自己去美國嗎?
-
不過我常常都在視訊,沒事就在視訊。
-
跟誰視訊?
-
好比像有和我一起簽宣言的 AI 相關友人。
-
是不是矽谷的夥伴?
-
對,大家都在專注你們剛剛問的問題,所以我們常視訊,好比說我跟 OpenAI 的共同創辦人這種視訊,逐字稿都會上網。
-
或者像我前兩天才跟 Tristan Harris,他拍了《Social Dilemma》這部在 Netflix 上很紅的一部片,去揭發 FB 廣告演算法的那一部片。他現在大部分的時間都在做 AI 安全性的工作,所以我跟他、Aza Raskin,前幾天才談了非常多,接下來逐字稿就會公開。我常常視訊聊大家問的這些問題。
-
我問最後一題,有關於新聞業跟數位部的問題,聽說第三輪是 8 月底要召開,確切的時間是什麼時候?主題是什麼?
-
第三輪我們目前收到的是 8 月 30 日為 Google、9 月 6 日是 Meta,包含報業、雜誌、電視學會、衛星廣播電視事業工會、純網路新聞媒體等等,這個是由文化部跟通傳會來邀請、進行對話,當然一部分是 nDX,也就是 Google 共榮的獎助金已經上路了,所以這一次的對話,在 Google 的部分,大家會滿多來討論這樣的模式對大家有沒有什麼想法、可以怎麼樣變得更好。
-
當然大家之前可能也有看到我們已經啟動跟公平會來合作、研議怎麼樣的方向適合我國,我們當然不希望一下子就跳到通過之後,Google 跟 Meta 就說他們平台不要放新聞、專門放娛樂,這當然不是我們希望看到的,但是反過來講,我們也不希望很像新聞業這邊就一直沒有制度性的方式能夠保障它的共榮,所以這兩個我們當然想辦法找到大家都接受的方法,這就等這兩次對話之後,我覺得可以收斂。
-
你剛剛說「有制度」是立法的意思?
-
立法一直是一個選項,但是如果現在重點是這兩家,如果這兩家同意某種法律以外的制度,這個制度在不排除立法,也就是你不能說選了一個機制、原則、辦法層次的東西,我就答應之後不立法,絕對不可能,但是有一些實務上的東西,確實也是在辦法或者是原則層級比較容易改,預告的時間就改了,這個情況下就可以改好幾次。
-
像我們剛剛提到資安法也是我們調整過好幾次的原則辦法,經過幾次調整、慢慢收斂,大家都覺得很穩定,這個時候把它變成法律,所以在這邊我們不排除立法,但是有一些原則或者是規範或者是機制層級的東西,也是可以討論的選項。
-
所以有關於立委非常關切的立法事情,數位部還沒有確定的時間?
-
我們會看這兩次對話之後,可以收出哪一些大家都接受的,我們也有在跟公平會討論哪一些部分是由公平會來幫忙,哪一些部分是數位部來做。
-
你剛剛說共識慢慢收,是有感受到雙方的?
-
像 nDX 出來之後,我覺得大家的討論慢慢就比較容易聚焦,nDX 的新聞獎助,哪一些是共榮、哪一些是新聞,會有比較具體的東西,大家可以談。
-
剛剛有提到兩大平台,因為現在大家都很關注,不只是股票或者投資金融詐騙,其實兩大平台商會有很多各類型的詐騙廣告、詐騙貼文或者是假訊息的貼文,像這一類的數位部有研議一些辦法,是不是有可能透過立法要求平台來負責?
-
我們其實可以看到投資廣告的那個案例,因為那個先行,他的架構是你在廣告資料庫、廣告檔案庫,你看到的話就檢舉,Meta 可以選擇隱藏下架、不動作,如果他選擇不動作,但又有人被欺騙,他就要負連帶賠償了,所以因為這樣的關係,目前以我所知,這個通過之後,這邊是百分之百,有勾檢舉、是投資詐騙就全部都下架。
-
在這樣的情況之下,我們覺得連帶責任的模式是滿不錯的模式,所以金管會率先用這個模式,我覺得相當好。
-
你剛剛關心是不是有其他的樣態,是不是也可以用這樣子類似連帶責任的模式?像深偽如果偽造成另外一位候選人,這樣對民主可能有損害,這個可能也可以算成重大損害,或者是之前已經有通過的,透過深偽合成一些本人不願意的一些情色影像等等,這個也是某種程度的傷害,目前以我所知在法律層級大概就是這三種損害,如果你覺得有別的損害,也像這三種這麼嚴重,我覺得這個是可以討論的。
-
我們現在的做法是,假設這個廣告出現、有人看到,要民眾有行動檢舉之後才可以進入到這個機制裡面,有沒有可能會更激進、更從源頭的做法,像我們要求兩大平台可能在廣告上架之前就確認過內容,或者是其他比較激進的措施?
-
當然從他們平台的角度來看,要一個個這樣處理,也是很消耗他們的成本,所以從平台的角度,他們也有誘因去說如果要登的話,要取得哪一些資格,讓取得資格的人,透過我們剛剛講到的數位簽章,來證明有這樣的資格,有的就放心登,沒有的話就不能登。但要推行這個,有個前提要件,就是這樣的數位簽章,不管是金融憑證或者是剛剛講的自然人憑證,要先普及。如果這個不普及,就變成突然間合法可以刊登廣告的人沒有辦法到,因為他們畢竟是以廣告為業,就會有一些影響。
-
我們當然希望接下來是往這個方向走,並不是刊登之後再來檢舉,而是事前就有這樣的一套簽章機制,但是這個有一個先決條件,這邊的公共建設要能夠讓大家熟悉,而且也信任、願意用。但這也應該不會太久,因為這個部分就像剛剛講的,至少行動自然人憑證的部分,應該會滿快就推行到年底,所以我對明年的狀態比較樂觀。
-
當然這兩個憑證到年底會推行,像電子簽章或者是自然人憑證,我們有抓一個時程,可能會在哪一年?
-
我們當然希望電子簽章法就像資安法修法一樣,我們希望在接下來的這個會期,雖然是預算會期,但是這兩部法有一陣子沒有修了,有電簽也 20 年了,但是裡面有兩個困擾,就是在你剛剛講的防詐應用上,一個是每個主管機關都可以用函釋,或者是在網路上貼出來,就是說「我不認電子簽章、我不認數位簽章」,我的這個業務不能用數位簽章,看是要紙本或者是臨櫃,如果各個機關都要這樣做,而且 20 年累積了很多,所以有一些你問承辦人,也不知道為何當年要排除,我們現在就改成「你不能不能排除,但是從電子簽章法新版施行後三年內要通過一個法律來排除」,不管是你改自己的法律或者是包裹成一部專法或者是條例,都一樣,但是如果沒有法律排除的話,過三年之後,這些令函排除都失效了,那個時候數位簽章才真的取得跟簽名蓋章一樣的強度,也就是推定是親簽的強度,不然理論上看起來有,但是都被排除了,這個跟沒有一樣。這個是第一件事。
-
第二,我們會把電子簽章法裡面,我們認證憑證單位的數位簽章這一級,等於強度高的電子簽章,跟平常大家都可以自己簽一簽的電子簽章來區分,現在是說數位簽章有定義,但是效力跟電子簽章沒有什麼差別,但是我們有認證過的數位憑證機構所簽發的數位簽章,在新版就推定是本人親簽,你說這個不是,要舉反證來推翻,這樣強度就很強。
-
像剛剛有提到有簽名才可以上廣告等等,主管機關不排除,而且簽名有推動親簽的強度,這個才可能全面施行,所以如果順利的話,也希望電簽法在接下來的會期可以通過。
-
因為最近網路上大家有討論有關於詐騙,大概有兩大產業,一個是第三方支付、一個是電商,第三方支付我們有推相關的聯防,我有問到一些比較小型的第三方支付業者會說聯防或者是 KYC 的措施對他們營運成本也很大。
-
就是全面登錄。
-
電商很像是跟防詐跟本土的產業發展有受到限制,所以在第三方支付跟電商這兩個產業,數位部在防詐跟協助產業發展上扮演什麼角色?
-
應該是說現在有在營運,不管是 40 家或者是接近百家等等的第三方支付,本來就應該跟那些有註冊他的公司、營業項目有這種傳輸 1 萬多家,這兩個本來就應該有所區分,不然變成這些正派經營的名聲被借殼拖累,所以我們當然協助產業發展是產業署的使命,但是這裡面也有一部分,至少這些有登入的我們有認得,我們認得你的這一套叫做「能量登錄」的清單,也是對這些正派經營有幫助,所以並不是單純像你說加重負擔等等,因為這個是公開的,我們甚至會用 Open Data 的方式,讓機器可以介接第三方支付也就是完成能量登錄,所以不只是申請虛擬帳號,甚至做很多相關的申請服務等等,至少可以 refer 到我們這邊的 Open Data 說我是數位部認得的第三方支付產業,這兩個並不衝突、是並行不悖。
-
第二,我們本來就會跟能量登錄這一些,我們會帶著這些去跟金管會,包含金管會對銀行等等說「之後核發虛擬帳號等等」,就不需要再來函給產業署,就直接介接我們這邊的 OpenAPI 進你的系統或者進各家銀行系統,這樣也等於節省掉很多來往、書函時間的成本,我想讓他們辦業務變得更容易,以及在國內的公信力提高,這個是我們可以做的事。
-
電商的部分那更容易跨境提供服務,所以我們也有包含像無電面公會、「新欣網」及「有你共創」等等 23 個臺灣電商公會業者被我們的產業署帶到日本,有一個洽商團跟 Rakuten 去媒合交流;除此之外,也包含一些垂直整合的一些模式,像日本的食品垂直電商銷售模式,也就是產業署去輔導我們的電商叫「盛智國際」輸出,還有馬來西亞的母嬰用品垂直電商銷售模式之類的這些是我們「出海智慧」,這些都可以帶動滿大的業績。
-
首先,我們認得,認得之後透過雲市集等等跟國內的需求媒合,媒合之後表現好的我們就帶出去跟國際媒合,這大概是產業署對電商的一些具體輔導措施。
-
如果是防詐這一方面,也就是電商業者聯防這個平台的績效如何?很像有一些母公司在境外的電商,像蝦皮或者是其他中國電商但是立案在新加坡的電商,跟我們的聯防看起來有點不太配合,但是他們又常常出狀況,部長如何看?跟我們如何改善的方式?
-
這個是兩件事,分開回答:
-
第一,無店面公會之前很困擾,會有很像一頁式的詐騙,點進去的網址跟真正的電商可能只差一個字,你點進去看起來跟這家完全一樣,尤其現在是有生成式 AI,連即時客戶互動都可以做得到,而且沒有什麼成本。在這樣的情況之下,因為沒有辦法從內容層容易判斷,你要每個使用者去盯網址太困難了,他們現在有一套方式是,如果這種偽冒一個國內電商的網址,他可以通報,通報之後我們就透過一個叫「DNS RPZ(response policy zone)」的機制,會把這個網址公告出來,說這個是冒充的網址,這個網址不管架在哪裡,包含架在國外的部分,國內的這些 ISP 提供網路服務的業者就會說只要在這個清單上的網址,你連上去就會看到 165 的反詐騙廣告,看起來會說「您連結的網頁涉及詐騙,如有疑問請打 165」。
-
有點像釜底抽薪。
-
如果不小心被誤舉報,雖然案例沒有很多,以我所知,電商的沒有誤舉報的案例,就可以寫到這邊來申訴,所以這個才是釜底抽薪的方法,比起要注意網址列、有沒有用加密的憑證,這些其實很容易瞞過一般人,但是只有這種我被偽冒了,我跟刑事局、RPZ 講,直接那個網址就從國內的 ISP 出現 165 的頁面,這才是釜底抽薪的做法,所以這個是新的機制,7 月 3 日啟動,到 8 月 8 日已經有 10 件整個網址被查封了,所以這個是一件事。
-
您剛剛的第二個部分是個資外洩的行政調查或者是聯防,會不會聽我們的改正、裁罰之類的,當然母公司是不是在境內,只要在這邊營運,我們就完全沒有差異,所以產業署確實也有行政檢查的部分,不管是國內的那幾家大的,或者是你剛剛提到的蝦皮等等,其實都有做,包含裁罰的紀錄,當時是個資法新版生效前,雖然舊法沒有罰很多,但是也有裁罰,而且不管裁罰多少,畢竟跟商譽也有一些影響,所以目前看起來不管是國內或者是國外,他們都還是相當配合。
-
但是,當然你說如果未來他們一定不配合的話,怎麼辦?當然你說真的變成故意不配合高風險,那個就有點像我剛剛講到,現行的個資法就有的個資傳到這種故意不配合高風險的地方,其實是可以限制傳輸。
-
現在就可以?
-
現在就可以。但是你要先證明他是故意不配合、高風險的,就是到最極端的狀況,這個是一種方式,你如果禁止跨境傳輸,其實他生意就非常難做。或者更釜底抽薪一點,個資法第 25 條也有禁止蒐集個人資料。
-
以前比較不太可能罰到這裡,要不是罰 2 萬、最多 20 萬,不然就是罰到生意做不下去,但是很難這樣跳層次。現在個資法有視情節嚴重、按次處罰,一路到 1,500 萬,1,500 萬再上面才是禁止做生意,所以新的個資法就多了非常多工具可以使用。
-
瞭解,謝謝。
-
謝謝。